ASP.NET虚拟主机中Forms Authentication的安全性

领测软件测试网
原创 By Fancyf(Fancyray) http://blog.csdn.net/fancyf/
    写完了《ASP.NET Forms Authentication所生成Cookie的安全性》，觉得可以为Forms的安全性松一口气了，结果最初提出问题的贴主又提到了一个问题：MachineKey是怎样实现的？同一台上不同的Web Application所使用的MachineKey是不是一样的？上次没想到这个为题，再做一下试验。
    试验思路：在同一台电脑上新建一个WebApplication，所绑定的域名不一样，也不在同一个应用程序池中。在新建的WebApplication生成一个Cookie，把值拿到原先的WebApplication中看看能否通过验证。
    试验过程：为了绑定不同的域名，在这台电脑上启动了DNS服务，并将网络连接中的DNS服务器指向了这台电脑的IP。根据FormsAuthenticationTicket构造函数的原型：
public FormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData, string cookiePath)
    以及在GetAuthCookie(...)中的调用方法：
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, userName, DateTime.Now, createPersistentCookie ? DateTime.Now.AddYears(50) : DateTime.Now.AddMinutes((double) FormsAuthentication._Timeout), createPersistentCookie, "", strCookiePath);
    决定在测试页面上放两个文本框，一个是用户名txtUsername2，一个是时间txtGenDate（代替DateTime.Now），然后在Generation按钮的Click事件中这样写：
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
    运行发现，对相同的用户名和生成时间，FormsAuthentication.Encrypt(ticket1)所得到的结果每次都不一样，但是每个结果都是有效的。
    现在把这个页面拿到新建立的WebApplication中运行，把得到的一组结果放在了原WebApplication的Login.aspx页面上：
<script language=javascript>
 document.cookie="MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A";
</script>
    在原WebApplication程序中启动一个非登录页面(upload.aspx)，结果正常跳转到了login.aspx页面。此时应该已经执行了上面的js程序，也就是说另一个程序中生成的cookie已经生效了。直接再次输入upload.aspx的URL，结果通过了验证！此时通过ieHttpHeaders可以清楚地看到，浏览器发送的请求中有这个值"MyLab=5623DE03BE6EE52298F721B181C83F77A97688BB5268602DE80C1A3DB07B7A1FFB828080BD0785B18BB8072996C2E241FD9A54F0ADDD8500C2C510DB54C31A40C8614541A9CF9C1A"。

    这说明，MachineKey的确只与Machine有关，而与WebApplication无关。一个Application生成的Cookie也可以通过其他Application的Forms验证！值得担心的事情终于出现了。A和B两个WebApplication在同一台电脑上的两个不同的，A中使用了Forms验证。B只要执行：
DateTime genDate = DateTime.Parse(this.txtGenDate.Text);
FormsAuthenticationTicket ticket1 = new FormsAuthenticationTicket(1, this.txtUsername2.Text, genDate, genDate.AddYears(50), true, "", "/");
this.lblEncryptedCookie.Text = FormsAuthentication.Encrypt(ticket1);
    这样一段代码可以生成在A中合法的一个用户名所对应的Cookie，B通过伪造Cookie的方式向A发出请求，就可以通过A的验证，从而获的任何一个用户的权限！这一切都太简单了，不需要任何高深的技术，只要A和B在同一台电脑上！！！而且根据《ASP.NET Forms Authentication所生成Cookie的安全性》得出的结论，A无论是修改B所冒用的用户的密码还是在A上注销这个用户，都无法阻止B的行为，除非禁用这个用户名，而且不让B获得任何一个合法的用户名才能避免再次被仿冒。
    这下我是不敢在上仅仅使用Forms验证了。如果你的ASP.NET主机上还有其他用户，还是尽快加强安全措施吧。Forms验证根本就不是给的用户用的，也根本没有考虑的安全性。
 

    免责声明：本文仅仅是从技术的角度来探讨系统的安全性，任何人对本文的使用仅限于加强自己的网站的安全性，不得利用本文的内容从事非法活动。且作者不承担任何人利用本文给第三方造成的损失。

文章来源于领测软件测试网 https://www.ltesting.net/